Autonome KI-Agenten ziehen in produktive IT-Umgebungen ein, doch viele Unternehmen können deren Identitäten, Berechtigungen und Aktionen nur begrenzt kontrollieren. Eine Studie von Rubrik Zero Labs zeigt Defizite bei Transparenz, Recovery und Governance. Für IT- und Security-Teams entsteht damit ein neues Betriebsrisiko.

Rubrik veröffentlicht neue Studienergebnisse von Rubrik Zero Labs zur Nutzung agentischer KI-Systeme in Unternehmen. Die Untersuchung »The State of the Agent: Understanding Adoption, Risk, and Mitigation« basiert laut Anbieter auf einer Befragung von mehr als 1.600 IT- und Security-Verantwortlichen sowie auf technischen Analysen neuer Angriffsvektoren auf Tool-, Cognitive- und Identity-Ebene von KI-Systemen.

Im Kern beschreibt die Studie eine wachsende Lücke zwischen dem produktiven Einsatz autonomer KI-Agenten und den Kontrollmechanismen, die für deren sicheren Betrieb notwendig wären. KI-Agenten können Entscheidungen treffen, Aktionen ausführen und auf geschäftskritische Daten zugreifen. Damit rücken sie in eine Rolle, die bisher meist menschlichen Nutzern, Service-Accounts oder klar definierten Automatisierungsprozessen vorbehalten war.

Viele Unternehmen sehen KI-Agenten schneller als ihre Schutzmechanismen

Laut Studie erwarten 79 Prozent der Befragten in Deutschland, dass KI-Agenten die bestehenden Sicherheitsmechanismen in ihrem Unternehmen innerhalb des nächsten Jahres überholen werden. EMEA-weit liegt dieser Wert bei 86 Prozent. Die Zahlen zeigen, dass viele IT- und Security-Verantwortliche die Entwicklung agentischer Systeme schneller einschätzen als den Ausbau von Governance, Monitoring und Wiederherstellbarkeit.

Besonders kritisch bewertet Rubrik die geringe Transparenz über aktive Agenten. In Deutschland geben nur 21 Prozent der Befragten an, vollständige Sichtbarkeit über die in ihrer Umgebung eingesetzten Agenten zu haben. Die Studie geht zudem davon aus, dass selbst dieser Wert möglicherweise zu hoch eingeschätzt ist. Für Rechenzentrums- und Security-Teams ist das ein heikler Punkt, weil unbekannte oder unzureichend dokumentierte Agenten schwer in bestehende Identity-, Backup- und Recovery-Prozesse integriert werden können.

Nicht-menschliche Identitäten werden zur Schattenbelegschaft

Ein zentraler Risikofaktor liegt in der Ausbreitung sogenannter Non-Human-Identities. Dazu zählen Identitäten, die nicht direkt einem Menschen zugeordnet sind, etwa Service-Accounts, Maschinenkonten, API-Keys oder Token. In Verbindung mit KI-Agenten können solche Identitäten dauerhaft Berechtigungen erhalten, automatisiert Aktionen ausführen und auf Daten zugreifen.

Rubrik spricht in diesem Zusammenhang von einer »Shadow Workforce«. Gemeint ist eine Art digitale Schattenbelegschaft aus autonomen oder teilautonomen Identitäten, die in IT-Umgebungen agiert, ohne immer vollständig erfasst, überwacht oder gesteuert zu werden. Für Angreifer entstehen dadurch zusätzliche Möglichkeiten für Missbrauch, Kompromittierung und Lateral Movement, also die Bewegung innerhalb eines kompromittierten Netzwerks.

Gerade im Rechenzentrum ist diese Entwicklung relevant, weil viele Betriebsprozesse bereits stark automatisiert sind. Wenn zusätzliche KI-Agenten mit weitreichenden Rechten hinzukommen, steigen die Anforderungen an Identity-Governance, Protokollierung, Rechtevergabe und Notfallprozesse. Entscheidend ist nicht nur, ob ein Agent produktiv nützlich ist, sondern auch, ob seine Aktionen nachvollziehbar und bei Bedarf rückgängig zu machen sind.

KI-Agenten senken den Aufwand nicht automatisch

Die Studie stellt auch das operative Nutzenversprechen agentischer KI infrage. Mehr als 70 Prozent der Befragten in Deutschland berichten, dass Agenten mehr manuelle Überwachung erfordern, als sie an Effizienz einsparen. Europaweit liegt dieser Wert bei 75 Prozent. Damit zeigt sich ein klassisches Automatisierungsproblem: Systeme, die Arbeit abnehmen sollen, erzeugen neue Kontroll- und Betriebsaufwände, wenn Governance und Transparenz nicht Schritt halten.

Hinzu kommt ein Recovery-Problem. In Deutschland geben 94 Prozent der Befragten an, dass sie Aktionen von Agenten nicht rückgängig machen können, ohne Systemstörungen zu verursachen. EMEA-weit sind es 87 Prozent. Für Backup- und Recovery-Verantwortliche ist das eine deutliche Warnung. Wenn autonome Systeme Änderungen in produktiven Umgebungen auslösen, müssen Wiederherstellungsprozesse nicht nur Datenstände, sondern auch Konfigurationen, Identitäten und Abhängigkeiten berücksichtigen.

85 Prozent der deutschen Führungskräfte äußern laut Studie Bedenken, ob sie ihre Recovery-Ziele angesichts zunehmender agentengetriebener Bedrohungen noch erreichen können. Damit verschiebt sich der Fokus von klassischer Prävention hin zu Resilienz. Es reicht nicht, Angriffe zu verhindern. Unternehmen müssen auch kontrollieren können, was autonome Systeme tun, und im Störfall schnell in einen konsistenten Zustand zurückkehren.

Autonome Systeme verändern die Angriffsdynamik

Rubrik sieht zudem eine Verschärfung der Bedrohungslage. Nahezu die Hälfte der Befragten geht davon aus, dass agentische Systeme im kommenden Jahr die Mehrheit der Angriffe auslösen werden. Diese Einschätzung deutet auf einen Wandel in der Vorgehensweise von Angreifern hin. Autonome Systeme können Angriffe beschleunigen, Aktionen skalieren und die Grenze zwischen Insider-Risiko und externer Kompromittierung verwischen.

»Die Einführung von KI läuft schneller als unsere Fähigkeit, sie zu kontrollieren«, sagt Kavitha Mariappan, Chief Transformation Officer bei Rubrik. »Unternehmen kämpfen, weil sie Systeme eingeführt haben, die sie nicht vollständig beobachten, steuern oder wiederherstellen können. Wir müssen aufhören darüber zu diskutieren, ob KI riskant ist, und uns der härteren Realität stellen: Wenn Entscheidungen zunehmend von Maschinen getroffen werden, besteht die zentrale Herausforderung für jede Führungskraft darin, operative Sicherheit in einer immer autonomeren Landschaft zu gewährleisten.«

Aus Sicht der IT-Praxis bedeutet das: Agentic AI darf nicht isoliert als Innovationsprojekt behandelt werden. Sie berührt Identity-Management, Datensicherheit, Backup, Recovery, Compliance und Betriebskontrolle. Wer KI-Agenten einführt, benötigt klare Zuständigkeiten, nachvollziehbare Berechtigungen und technische Mechanismen, um Aktionen zu prüfen, zu begrenzen und im Ernstfall zurückzunehmen.

KI-Strategie und Resilienz-Strategie wachsen zusammen

Für Geschäftsführungen und Vorstände ergeben sich laut Studie unmittelbare Konsequenzen. KI-Strategie und Resilienz-Strategie lassen sich kaum noch trennen. Unternehmen, die Geschwindigkeit vor Kontrollmechanismen stellen, riskieren Umgebungen, in denen Fehler, Fehlkonfigurationen oder kompromittierte Identitäten schwer einzudämmen sind.

»Identity Verification ist die grundlegende Voraussetzung, um die Automatisierungsvorteile von KI zu nutzen, ohne menschliche Engpässe zu schaffen«, erklärt Steven Ramirez, VP und Chief Information Security & Technology Officer bei Renown Health. »Verifizierung und Transparenz sind Grundvoraussetzungen für eine sichere agentische Implementierung.«

Die Studie beschreibt damit keinen grundsätzlichen Einwand gegen agentische KI, sondern verweist auf eine betriebliche Lücke. Autonome Systeme benötigen dieselbe Disziplin wie andere geschäftskritische IT-Komponenten, allerdings mit zusätzlicher Komplexität. Identitäten müssen bekannt sein, Rechte müssen begrenzt werden, Aktionen müssen protokolliert und Wiederherstellungspunkte müssen belastbar sein. Sonst wird aus Automatisierung schnell ein sehr fleißiger, aber schlecht beaufsichtigter Kollege im Maschinenraum.